知名博客网站汤不热出现严重漏洞可泄露所有人信息

国外知名博客分享网站 Tumblr (国内用户对其俗称汤不热)刚刚发布安全公告透露被修复的严重安全漏洞。

这枚安全漏洞是由安全研究人员通过汤不热的漏洞赏金猎人计划提交的,目前该公司工程团队已经修复漏洞。

任何人无需任何复杂的步骤即可利用漏洞查看其他用户的数据,包括注册账号和电子邮件地址以及哈希密码。

知名博客网站汤不热出现严重漏洞可泄露所有人信息

示意图,图文无关

低级但却极其严重的安全漏洞:

根据汤不热发布的安全公告:该安全漏洞位于汤不热对于已登录用户根据用户兴趣展示的推荐博客模块里面。

正常情况下用户登录后汤不热会按兴趣随机推荐几个博客,这些博客通常附带博客名称以及简单的说明等等。

然而漏洞导致任何人只要使用调试工具即可查看这些博客的详细信息,包括账号邮箱以及经哈希加密的密码。

汤不热表示漏洞应该没有利用:

汤不热在安全公告里称目前没有证据表明该漏洞被利用,简单来说就是按安全团队的分析没有用户受到影响。

但汤不热也遇到和谷歌泄露数据那样的问题,这种漏洞利用比较简单所以没有更详细的日志可以再拿来分析。

所以即便是有用户数据被泄露出去汤不热也不知道,汤不热官方表示无法确定哪些账号可能收到漏洞的影响。

所幸汤不热的安全系统还算不错默认情况下已经对用户密码哈希加盐处理,所以暴力破解的难度相对比较大。

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

4 条评论,访客:4 条,站长:0 条
  1. bakura1
    bakura1发布于: 
    Google Chrome 62.0.3202.75 Google Chrome 62.0.3202.75 Windows 7 64位版 Windows 7 64位版

    已经对用户密码哈希加盐处理?煮汤吗?

    • blade_storm_2015
      blade_storm_2015发布于: 
      Google Chrome 67.0.3396.99 Google Chrome 67.0.3396.99 Windows 10 64位版 Windows 10 64位版

      哈希加盐是个计算机术语(手动扇子)

      • bakura1
        bakura1发布于: 
        Google Chrome 62.0.3202.75 Google Chrome 62.0.3202.75 Windows 7 64位版 Windows 7 64位版

        长见识了。

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 70.0.3538.67 Google Chrome 70.0.3538.67 Windows 10 64位版 Windows 10 64位版

          哈希加盐是替代传统密码哈希加密的措施 盐是个比较形象的描述 指加密过程中混入一些随机数 提高破解难度

发表评论